Last Updated on 6월 5th, 2023, By
 In 앱실링 블로그, AppSealing News

정부기관은 방대한 양의 민감한 데이터를 다루고 있어 데이터 유출의 위험이 크고 해커들의 표적이 됩니다. 또한 정부 데이터는 잘못 사용된다면 국가 보안 위협까지 초래할 수 있습니다. 이 때문에 민감한 데이터가 유출되고 오용되지 못하도록 강력한 보안 조치를 적용해야 하며 엄격한 데이터 보안 규범은 끊임없는 사이버 공격 위협을 해결하기 위한 효과적인 해결책입니다.

해가 지날수록 사이버 공격은 더욱 복잡하게 진화하고 있습니다. 사이버 공격의 복잡성과 규모에 맞게 대응할 수 있는 강력한 보안 조치가 있다면 데이터 유출 위협을 현저히 감소시킬 수 있습니다. 미 연방 정보보안 관리법 (FISMA)와 NISR는 이를 인지하여 FISMA 컴플라이언스를 제정했습니다. FISMA컴플라이언스는 민감한 데이터를 보호하기 위해 연방 기관에 데이터 보안 계획 도입을 의무화합니다.

FISMA(미 연방 정보보안 관리법)컴플라이언스란?

FISMA(미 연방 정보보안 관리법)는 2002년에 통과된 미 연방법입니다. 해당 법에 따르면 연방 기관은 전자 데이터를 보호하기 위해 정보보안 프로그램을 가지고 있어야 합니다.  FISMA 컴플라이언스의 주 목적은 연방정보와 관련된 보안 위협을 감소시키는 것입니다. 정부 기관과 계약한 사기업 역시 FISMA컴플라이언스 준수 대상입니다.

FISMA는 연방 기관이 따라야 할 가이드라인과 보안 표준을 제시하고 있습니다. NIST는 FISMA의 관리하에 컴플라이언스 문서를 업데이트할 책임이 있습니다. NIST는 정보 보안 계획 및 절차에 대한 최소한의 요구사항 설정하고, 기관들에게 적절한 시스템과 소프트웨어 권고하며, 위험 평가 프로세스 표준화하고, 그에 따라 다양한 표준을 설정하는 업무를 담당하고 있습니다.

FISMA 제정된 이유

FISMA는 전자 정부 서비스의 관리 및 촉진을 위한 2002년 전자정부법의 일부이며 연방 기관이 정보 보안 및 보호 프로그램을 개발, 문서화 및 적용하기 위해 제정되었습니다. FISMA는 2002에 미국 의회에서 통과되었으며 2014년에 연방정보 보안 현대화법으로 개정되었습니다. 법률 개정은 FISMA가 진화하는 보안 위협을 해결할 수 있도록 개정되었습니다. 이제 기업들은 법률 개정 전보다 더욱 엄격하게 규정 준수에 집중할 것으로 예상됩니다.

FISMA 컴플라이언스 적용 대상

처음에 FISMA는 연방 기관에만 적용되었습니다. 하지만 FISMA는 이제 연방 프로그램에 연관된 주입 기관과 계약 및 협업하는 기업들에게 확대 적용되도록 개정되었습니다. 시간이 지나면서 FISMA는 중요한 변화와 개정을 거쳤습니다. 이제 연방기관들과 거래하는 사기업 역시 연방기관을 위한 정보 보안 표준을 준수해야 합니다.

FISMA 컴플라이언스 요구사항

FISMA준수를 위해 기관들은 상당히 많은 보안 요구사항을 지켜야 합니다. FISMA는 보안 위험을 줄이기 위한 여러 단계를 설명하고 있습니다. 다음은 FISMA 준수를 위한 상위 요구사항들입니다.

1. 정보 시스템 목록

조작 내에서 사용되는 모든 정보 시스템 목록은 정부와 협력하는 모든 연방기관과 기업에서 유지 보수해야 합니다. 또한 기관들은 상호 의존적인 시스템, 내부 시스템 간의 상호의존성 그리고 기관의 통제 하에 있지 않은 시스템을 관리할 목록 역시 가지고 있어야 합니다.

2. 위협 분류

민감한 정보를 다루는 모든 시스템은 최고 수준의 보안을 적용해야만 합니다. 이를 위해 기관들은 위협 수준에 따라 정보 시스템을 분류해야 합니다. 민감한 정보를 보관하여 공격당했을 때 피해가 큰 시스템이 해킹공격을 받았을 때 치명적인 피해가 발생하기 때문에 높은 위협으로 분류해 이에 상응하는 보안 조치가 취해지도록 해야 합니다. 각각의 정보 시스템은 적절한 위협 카테고리에 따라 분류해야 합니다.

3. 시스템 보안 계획

모든 기관은 수시로 보안 계획을 수립하고, 유지하며, 업데이트해야 합니다. 보안 계획은 조직 내에 이미 적용된 조치 및 보안 제어 계획을 간략하게 설명해야 합니다.

4. 보안 제어

FISMA컴플라이언스는 다양한 보안제어를 권고하지만 기관들이 전부 적용할 필요는 없습니다. 기관은 조직의 보안 요구사항을 평가한 후 그들에게 적합한 보안 제어를 적용하면 됩니다. 또한 조직은 시스템 보안 계획에 그들이 선택한 보안 제어를 문서화해야 합니다.

5. 위협 평가

위협 평가는 FISMA 컴플라이언스를 위한 가장 중요한 전제조건 중 하나입니다.  NIST가이드라인은 기관들이 조직 단계, 사업 단계, 정보 시스템 단계와 같은 모든 단계에서 위협을 탐지할 수 있도록 3단계 위협 평가를 수행할 것을 제안합니다.

6. 인증 인가 (certification and accreditation)

기관들은 인증 및 인가를 얻기 위해서는 시작, 계획, 인증, 인가 및 모니터링의 4단계 프로세스를 거쳐야합니다. 기관들은 인증 프로세스로서 취약점 확인, 기존 보안 교체 및 신규 보안 적용을 거쳐야 하며, 인증을 받고 나서 정보 시스템은 인가를 진행할 수 있습니다.

7. 지속적인 모니터링

컴플라이언스를 이루는 것은 한번으로 끝낼 일이 아닙니다. 취약점을 확인하고 보안 제어를 평가하기 위해서는 시스템을 지속적으로 모니터링해야 하며, 조직은 이와 같은 방법으로 규정 준수를 유지해야 합니다.

FISMA컴플라이언스의 이점

FISMA 규정을 준수하는 것은 조직에게 많은 이점을 줍니다. 다음은 FISMA 컴플라이언스가 주는 몇 가지 중요한 이점들입니다

1. 리스크 관리 중심 접근법

컴플라이언스는 리스크 관리 중심 접근법을 적용하는데 도움이 됩니다. FISMA는 광범위한 범위에서 위협을 최소화할 수 있는 정보보안 프로그램을 적용하도록 요구하며, FISMA 컴플라이언스는 피해가 발생하기전에 미리 리스크를 관리할 수 있는데 중요한 역할을 합니다.

2. 지속적인 평가 모니터링

위협 환경은 지속적으로 진화하고 있기 때문에 기관들은 지속적으로 적절한 보안 조치를 도입해야 합니다. FISMA 컴플라이언스는 기관들이 준비가 된 상태에서 어떠한 종류의 공격에도 대응하고 방지할 수 있도록 시스템에 대한 지속적인 모니터링을 요구합니다.

3. 조직의식

많은 사람이 사이버 공격의 결과와 엄격한 보안 조치의 필요성에 대해 무관심합니다. FISMA는 지속적인 보안 정보보안 교육 프로그램을 의무화하여 이러한 문제를 해결하는데 도움을 줍니다. 조직의 모든 구성원이 자신의 행동으로 인한 결과를 이해함으로써 보안 위협과 통제에 대한 경각심을 가지게 합니다.

4. 대응 복원

FISMA 컴플라이언스의 강조사항 중 하나는 기관들이 적절한 사고 대응 및 복원 프로그램을 가지도록 하는 것입니다. FISMA 컴플라이언스를 통해 기업들은 사이버 위협에 보다 탄력적으로 대처할 수 있습니다. FISMA 컴플라이언스는 조직이 공격당하는 것을 방지하고 공격이 발생할 수 있는 취약점을 해결할 수 있도록 합니다.

FISMA컴플라이언스 위반에 대한 불이익

FISMA컴플라이언스를 준수하지 못하는 기업은 연방 자금 지원을 받지 못할 위험이 있습니다. 연방 협업 기업이 규정을 위반하게 된다면 더욱 심각한 문제가 발생할 수 있습니다. 좋지 않은 기사로 인한 평판의 손상 및 의회로부터의 비난 등이 금전적인 불이익 외에 발생할 수 있는 규정 위반의 패널티입니다. FISMA 규정 준수는 연방 기금에 의존하는 경우 매우 중요합니다.

FISMA컴플라이언스 모범 사례

규정을 준수하는 것은 많은 사람들에게 번거로운 프로세스로 간주되는 경우가 많습니다. 하지만 아래 모범사례를 따른다면 FISMA요구사항을 지키며 규범 준수에 소요되는 시간을 줄일 수 있습니다.

  1. 데이터의 민감성에 따라 평가하고 분류해야 합니다. 이는 적절한 보안 제어를 결정 및우선 순위를 지정하고  활동을 모니터링하여 위협을 감지하는 데 도움이 됩니다.
  2. 보안 전략을 빠르게 변경할 수 있도록 FISMA의 변화와 개정을 항상 유심히 지켜봐야 합니다.
  3. 항상 모든 민감한 정보를 암호화하십시오
  4. FISMA 컴플라이언스를 달성하기 위한 모든 단계와 행동을 기록해야 합니다.

FedRAMP(연방정부 위험 인증 관리 프로그램)

FedRAMP는 기관들이 클라우드 컴퓨팅 서비스를 평가할 수 있도록 표준을 제공하는 정부 프로그램입니다. 클라우드에 대한 의존도가 높아지면서 기관들은 클라우드 기반 데이터와 관련된 위험을 관리하기 위한 솔루션을 찾고 있습니다.  FedRAMP는 클라우드 컴퓨팅 서비스를 사용하는 기관들에게 가이드를 제공함으로써 이러한 요구를 해결합니다.

FISMA컴플라이언스 장점

  1. 보안 구현을 위한 좋은 출발점을 제공
  2. 연방 정보에 대한 보안 강화
  3. 민간 기업에게 최상의 보안 정책 보장
  4. 취약점 대응 능력 향상
  5. 진화하는 위협에 따른 보안을 강화하기 위한 지속적인 모니터링

FISMA컴플라이언스 과제

  1. 기관들 사이 사이버보안 정보를 교환하는데 몇 가지 장애물이 있을 수 있습니다.
  2. 시간이 지남에 따라 새로운 위협은 생기고 있으며, 이에 대응하기 위해 FISMA는 끊임없이 개선되어야 합니다.
  3. FISMA는 정보보안을 평가하는 것보다 보안 계획에 더 집중합니다.
  4. 몇몇의 통제는 이해하기 어렵습니다.

마치며

FISMA 컴플라이언스는 잠재적인 데이터 유출과 사이버 위협으로부터 조직을 보호할 수 있습니다. 조직은 FISMA규정을 준수하기 위해 민감한 정보에 최고수준의 보안을 적용하여 공격에 대처할 준비를 강화합니다. FISMA는 예외 없이 모든 연방 기관에 적용되며 그들과 협업하며 기관 정보를 다루는 계약업체 및 제3자 공급업체들도 FISMA를 준수해야 합니다. FISMA는 위협을 최소화하기 위해 산업 모범사례를 설명하고 있으며 조직들이 강력한 정보보안능력을 가질 수 있도록 합니다. `

FISMA 규정은 데이터 유출로 인한 피해를 최소화할 수 있는 반면에 지키지 못한다면 기업의 평판 하락 및 재정적 손상과 같은 반갑지 않은 영향을 받을 수 있습니다. 규정준수를 하기 위해서는 지속적으로 사이버보안 표준에 맞게 보안을 향상시키고 최신 개정상황도 인지하고 있어야 합니다.

모바일 애플리케이션을 위한 최고의 보안 솔루션을 찾고 계십니까? Appsealing 은 제로 코딩, 확장 가능한 보호 기능을 기업에 제공하는 강력한 모바일 앱 보안 솔루션을 전문으로 하며,  Android, iOS 또는 하이브리드 앱 – 공격 벡터에 대한 위협 분석, 런타임 보호 및 타사 도구와의 호환성을 보장합니다. 앱 성능에 영향을 주지 않고 영화, 핀테크, 게임 또는 전자 상거래 앱을 보호하려면 지금 저희에게 연락해 주십시오.

FISMA FAQ

1. FISMA NIST 차이점은?

FISMA는 미 정부 기관 에이전시들이 사이버 보안 표준을 따르도록 하는 법안입니다. 반면에 NIST는 조직들이 FISMA와 같은 규범을 따를 수 있도록 보안 표준을 발간하는 정부 기관입니다.

2. FISMA 인증인가?

FISMA인증 과정에는 위협관리 평가와 인증 문서가 포함되며. 여기에는 기존 취약점 식별, 기존 보안 활동의 변경 그리고 새로운 보안을 적용하는 것을 포함하고 있습니다. FISMA 인증은 기업이 모든 보안 프레임워크와 보안 모범사례를 따르고 있다는 것을 증명해줍니다

3. FISMA reportable?

FISMA reportable 시스템은 에이전시의 운영과 자산을 관리하고 지원하는 정보 시스템입니다. FISMA는 기관 전체에 이와 같은 정보시스템의 적용을 의무화합니다.

4. FISMA 감사란?

FISMA 감사는 조직들이 정보 보안과 위협 관리와 연관된 적용된 법률, 정책, 훈령, 그리고 표준을 준수하고 있는지 확인하기 위해 진행됩니다. NIST SP 800-53은 FISMA감사 중 규범 준수를 확인하기 위한 프레임워크로 사용됩니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.